Nikita Zybinov 0 Опубликовано 31 марта, 2016 Share Опубликовано 31 марта, 2016 Добрый день! Мой Chrome подвергся атаке малваря - при поиске в яндксе или гугле происходит редирект на searchdts и на go.mail.ru, кроме этого постоянно всплывает реклама. Чистка реестра и поиск вирусов утилитами CureIt и Kaspersky Free не дали результата. Прилагаю результаты работы программы FRST64. Спасибо за помощь. Addition.txt FRST.txt Shortcut.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 31 марта, 2016 Share Опубликовано 31 марта, 2016 http://[url=http://forum.kasperskyclub.ru/index.php?showtopic=43640]Порядок оформления запроса о помощи[/url] Цитата Ссылка на сообщение Поделиться на другие сайты
Nikita Zybinov 0 Опубликовано 31 марта, 2016 Автор Share Опубликовано 31 марта, 2016 (изменено) Логи AutoLogger в аттаче ClearLNK лог в аттаче CollectionLog-2016.03.31-17.37.zip ClearLNK-31.03.2016_18-16.log Изменено 31 марта, 2016 пользователем Nikita Zybinov Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 31 марта, 2016 Share Опубликовано 31 марта, 2016 Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе. Если у вас похожая проблема - создайте тему в разделе Уничтожение вирусов и выполните Правила оформления запроса о помощи. Здравствуйте! Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Важно! на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. Выполните скрипт в АВЗ (Файл - Выполнить скрипт): begin QuarantineFile('C:\Users\kefir\AppData\Local\Hostinstaller\35538030_monster.exe',''); DelBHO('{03AE1B7B-A9E7-4D5A-9D34-89999C31B659}'); DelBHO('{6E727987-C8EA-44DA-8749-310C0FBE3C3E}'); StopService('HomePageDefender Service'); DeleteService('HomePageDefender Service'); StopService('wucotusy'); StopService('rowugoqo'); DeleteService('wucotusy'); DeleteService('rowugoqo'); TerminateProcessByName('c:\users\kefir\appdata\local\1cb39c4f-1459439995-c32a-365e-e03f49441af8\snst2d2b.tmp'); QuarantineFile('c:\users\kefir\appdata\local\1cb39c4f-1459439995-c32a-365e-e03f49441af8\snst2d2b.tmp',''); QuarantineFile('c:\programdata\mobilebrserv\mbbservice.exe',''); TerminateProcessByName('c:\program files (x86)\torrent search\ieef\kkrzwt3qp2b9.exe'); QuarantineFile('c:\program files (x86)\torrent search\ieef\kkrzwt3qp2b9.exe',''); TerminateProcessByName('c:\program files (x86)\homepagedefender\hpdefsrv.exe'); QuarantineFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe',''); TerminateProcessByName('c:\program files (x86)\1cb39c4f-1459429084-c32a-365e-e03f49441af8\hnsxb1b5.tmp'); QuarantineFile('c:\program files (x86)\1cb39c4f-1459429084-c32a-365e-e03f49441af8\hnsxb1b5.tmp',''); DeleteFile('c:\program files (x86)\1cb39c4f-1459429084-c32a-365e-e03f49441af8\hnsxb1b5.tmp','32'); DeleteFile('c:\program files (x86)\homepagedefender\hpdefsrv.exe','32'); DeleteFile('c:\program files (x86)\torrent search\ieef\kkrzwt3qp2b9.exe','32'); DeleteFile('c:\users\kefir\appdata\local\1cb39c4f-1459439995-c32a-365e-e03f49441af8\snst2d2b.tmp','32'); DeleteFile('C:\Program Files (x86)\HomePageDefender\HpDefSrv.exe','32'); DeleteFile('C:\Users\kefir\AppData\Local\1CB39C4F-1459439995-C32A-365E-E03F49441AF8\snst2D2B.tmp','32'); DeleteFile('C:\Program Files (x86)\1CB39C4F-1459429084-C32A-365E-E03F49441AF8\hnsxB1B5.tmp','32'); DeleteFile('C:\Program Files (x86)\Torrent Search\IEEF\uNaRp1RpKmSW.dll','32'); DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search.job','32'); DeleteFile('C:\Windows\Tasks\Update Service for Torrent Search2.job','32'); DeleteFile('C:\Users\kefir\AppData\Local\Hostinstaller\35538030_monster.exe','32'); DeleteFile('C:\Windows\system32\Tasks\Soft installer','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search','64'); DeleteFile('C:\Windows\system32\Tasks\Update Service for Torrent Search2','64'); ExecuteSysClean; RebootWindows(true); end. Внимание! Будет выполнена перезагрузка компьютера. После перезагрузки компьютера выполните скрипт в АВЗ: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com. 1. В заголовке письма напишите "Запрос на исследование вредоносного файла". 2. В письме напишите "Выполняется запрос хэлпера". 3. Прикрепите файл карантина и нажмите "Отправить" 4. Полученный ответ сообщите здесь (с указанием номера KLAN) Сделайте новые логи Автологгером. Цитата Ссылка на сообщение Поделиться на другие сайты
Nikita Zybinov 0 Опубликовано 31 марта, 2016 Автор Share Опубликовано 31 марта, 2016 После выполнения выданных рекомендаций проблема не исчезла. Логи с автологерра в аттаче. Ответ вирлаба: KLAN-4022944422 35538030_monster.exe, snst2d2b.tmp,mbbservice.exe,kkrzwt3qp2b9.exe,hpdefsrv.exeПолучен набор неизвестных файлов, они будут переданы в Вирусную Лабораторию. CollectionLog-2016.03.31-19.23.zip Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 31 марта, 2016 Share Опубликовано 31 марта, 2016 Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе. Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования. Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[s2].txt. Прикрепите отчет к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Nikita Zybinov 0 Опубликовано 31 марта, 2016 Автор Share Опубликовано 31 марта, 2016 К сожалению, программа не отрабатывает полностью ни в обычном ни в безопасном режиме (выводит ошибку приложения). Запускал от имени Администратора. Тот лог, который AdwCleaner все-таки собрал, прикладываю. AdwCleanerS4.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 31 марта, 2016 Share Опубликовано 31 марта, 2016 (изменено) Сделайте скриншот ошибки. + Запустите AdwCleaner от имени администратора и в настройках включите отладочный режим, далее воспроизведите ошибку и прикрепите к сообщению лог C:\AdwCleaner\AdwCleaner_dbg_xxxxxx.log Изменено 31 марта, 2016 пользователем mike 1 Цитата Ссылка на сообщение Поделиться на другие сайты
Nikita Zybinov 0 Опубликовано 31 марта, 2016 Автор Share Опубликовано 31 марта, 2016 (изменено) Обычная виндовая ошибка. (копия содержания окна "прекращена работа программы AdwCleaner") Сигнатура проблемы: Имя события проблемы: APPCRASH Имя приложения: adwcleaner_5.108.exe Версия приложения: 5.1.0.8 Отметка времени приложения: 56fc1e1f Имя модуля с ошибкой: SHLWAPI.dll Версия модуля с ошибкой: 6.1.7601.17514 Отметка времени модуля с ошибкой: 4ce7b9e2 Код исключения: c0000005 Смещение исключения: 0001bb3a Версия ОС: 6.1.7601.2.1.0.256.1 Код языка: 1049 Дополнительные сведения 1: 0a9e Дополнительные сведения 2: 0a9e372d3b4ad19135b953a78882e789 Дополнительные сведения 3: 0a9e Дополнительные сведения 4: 0a9e372d3b4ad19135b953a78882e789 Судя по дебаг логам AdwCleaner'а стартует скан ярлыков но не завершается (последние строчки дебаг лога) 2016-04-01 01:28:18 : [Notice] Files scan started 2016-04-01 01:28:20 : [Notice] Files scan finished 2016-04-01 01:28:20 : [Notice] DLL scan started 2016-04-01 01:28:20 : [Notice] DLL scan finished 2016-04-01 01:28:20 : [Notice] Shortcuts scan started В это же время в обычных логах пусто на месте "Ярлыки" AdwCleanerS6.txt Debug_01042016012744.log Изменено 31 марта, 2016 пользователем Nikita Zybinov Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 1 апреля, 2016 Share Опубликовано 1 апреля, 2016 Скачайте Junkware Removal Tool by thisisu отсюда и сохраните утилиту на Рабочем столе Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО. Запустите утилиту (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора) Дождитесь окончания сканирования и удаления По завершению сканирования лог (JRT.txt) будет сохранен на Рабочем столе и автоматически открыт в Блокноте. Прикрепите полученный лог JRT.txt к своему следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Nikita Zybinov 0 Опубликовано 1 апреля, 2016 Автор Share Опубликовано 1 апреля, 2016 Junkware тоже выбрасывает APPCRASH на ярлыках, не создавая лог на рабочем столе: Сигнатура проблемы: Имя события проблемы: APPCRASH Имя приложения: SHORTCUT.DAT Версия приложения: 1.10.0.0 Отметка времени приложения: 42c93b79 Имя модуля с ошибкой: SHLWAPI.dll Версия модуля с ошибкой: 6.1.7601.17514 Отметка времени модуля с ошибкой: 4ce7b9e2 Код исключения: c0000005 Смещение исключения: 0001bb3a Версия ОС: 6.1.7601.2.1.0.256.1 Код языка: 1049 Дополнительные сведения 1: 57df Дополнительные сведения 2: 57df22ceae4d0b9549bae37ac622758b Дополнительные сведения 3: e7a0 Дополнительные сведения 4: e7a0c641bbd1b0a50003309c956aa9c6 Может есть смысл почистить руками? Только что чистить? Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 1 апреля, 2016 Share Опубликовано 1 апреля, 2016 Скачайте Malwarebytes' Anti-Malware. Установите (во время установки откажитесь от использования бесплатного тестового периода), обновите базы, выберите "Custom Scan" ("Пользовательское сканирование"), нажмите "Scan Now" ("Сканировать сейчас"), отметьте все диски. В выпадающих списках PUP и PUM выберите "Warn user about detections" ("Предупредить пользователя об обнаружении"). Нажмите нажмите "Start Scan" ("Запуск проверки"). После сканирования нажмите Export Log, сохраните лог в формате txt и прикрепите его к следующему посту. Самостоятельно ничего не удаляйте!!! Если лог не открылся, то найти его можно в следующей папке: %appdata%\Malwarebytes\Malwarebytes Anti-Malware\Logs Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM. Цитата Ссылка на сообщение Поделиться на другие сайты
Nikita Zybinov 0 Опубликовано 1 апреля, 2016 Автор Share Опубликовано 1 апреля, 2016 Лог в аттаче Log Malwarebytes.txt Цитата Ссылка на сообщение Поделиться на другие сайты
mike 1 1 091 Опубликовано 2 апреля, 2016 Share Опубликовано 2 апреля, 2016 Удалите в MBAM все, кроме: Файлы: 71 Trojan.VirTool, E:\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\English\steam_api.dll, , [b1f75752f7a2eb4b99d3a6af6a9814ec], Trojan.VirTool, E:\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\Russian\steam_api.dll, , [357354551386cb6b0b610c49956df709], PUP.Optional.InstallCore, E:\[R.G. Mechanics] Tony Hawk's American Wasteland\setup.exe, , [6a3edecbbbde1e18af74d499f809fc04], RiskWare.Tool.HCK, D:\ArtMoney 7.44 Pro + keygen\artmoneykg744eng.exe, , [deca3475b5e4c96d08cd7c966998d62a], RiskWare.Tool.HCK, D:\ArtMoney 7.44 Pro + keygen\artmoneykg744rus.exe, , [4761decbf8a158de548137db837e26da], CrackTool.Agent.Steam, D:\R.G. Catalyst\Pro Evolution Soccer 2016\steam_api.dll, , [d0d837728b0e1a1cc618303cc43da858], Trojan.MalPack.Krunchy, D:\Faasoft Audio Converter 5.2.23.5604 Multilingual + Keygen + 100% Working\Faasoft Audio Converter\Faasoft Audio Converter\Keygen\Keygen.exe, , [01a7e7c20b8e2016b6092b4a08f907f9], Trojan.MalPack.Krunchy, D:\Faasoft Video Converter 5.2.24.5621 Multilingual + Keygen + 100% Working\Faasoft Video Converter\Faasoft Video Converter\Keygen\Keygen.exe, , [ecbcd4d58a0f1b1bc0ffc6af51b013ed], Trojan.PasswordStealer.H, D:\Games\Garry's Mod 13 by RadioMan\UNC.exe, , [57512980178259dd027c54f3dd28ca36], Trojan.VirTool, D:\Games\The Elder Scrolls V - Skyrim\steam_api.dll, , [2880fcad88112b0b91dbbb9a0af820e0], PUP.Optional.InstallCore, D:\torrent\Trine 3 - The Artifacts of Power\setup.exe, , [9a0e57520792bf7773b0e786fe0325db], PUP.Optional.InstallCore, D:\torrent\[R.G. Mechanics] The Sims 3 Antology\setup.exe, , [d6d282277f1a40f60320fe6f15eca858], PUP.Optional.Somoto, D:\Users\kefir\Downloads\commander_v1.0.4.rar.exe, , [7b2de5c41386979f52b266e7768f0bf5], RiskWare.Crack, D:\Users\kefir\Downloads\GTA4RUS1C\Crack\LaunchGTAIV.exe, , [5b4d4267dabfff376aa4e48ffb07dd23], Trojan.VirTool, D:\Users\kefir\Downloads\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\English\steam_api.dll, , [a206dfca7b1ee74fdb9169ecc83ac13f], Trojan.VirTool, D:\Users\kefir\Downloads\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.RUS-QT\Crack\Russian\steam_api.dll, , [0c9c7930b0e977bf77f5b69ff80aaa56], Trojan.Agent.Drop, D:\Windows\System32\hidcon.exe, , [b6f206a3adece74f1c720d7a8d7553ad], PUP.Optional.InstallCore, D:\[R.G. Mechanics] Civilization 5 GOTY\setup.exe, , [a0081a8fc1d8b48247dc7fee99682bd5], RiskWare.Tool.CK, D:\Nero Vision\keymaker.exe, , [adfbcadfd1c80b2be9448bac50b5e51b], PUP.Optional.OpenCandy, C:\Users\kefir\Downloads\CheatEngine65.exe, , [baee9514f1a81125767a76749f621ce4], Backdoor.Bot, C:\Users\kefir\Downloads\totalovertrn7.zip, , [7335bfea1287c076c36a38436a96a957], PUP.Optional.BundleInstaller, C:\Users\kefir\Downloads\Faasoft_Audio_Converter_5.2.23.5604_Multilingual_Keygen_10._downloader.exe, , [c7e18a1f15841620dcd718c84eb35ea2], HackTool.CheatEngine, C:\Users\kefir\Downloads\sid_civilization_5_brave_new_world_v_1.0.3.279_trainer_8_mrantifun (1).zip, , [b0f805a4f9a0d85e97001a0e4cb47e82], HackTool.CheatEngine, C:\Users\kefir\Downloads\sid_civilization_5_brave_new_world_v_1.0.3.279_trainer_8_mrantifun.zip, , [92162e7be7b2989e6f288f9919e79e62], HackTool.CheatEngine, C:\Users\kefir\Downloads\ftl_faster_than_light_v1.5.13_trainer_17_mrantifun.zip, , [93155c4d5544979f692e9e8a35cb7f81], PUP.Optional.MediaGet, C:\Users\kefir\Downloads\MediaGet_id1122476ids1s.exe, , [e4c4c0e91f7af73f737979bf33cd58a8], PUP.Optional.Babylon, C:\Users\kefir\Downloads\Unlocker1-9-2.exe, , [387016932e6b66d00eb5d6706e9320e0], Trojan.Agent.Generic, C:\Users\kefir\Downloads\Celemony.Melodyne.Studio.Edition.v3.2.2.2.Incl.Keygen-AiR\AiR\Keygen.exe, , [8028ccdd6237df57c0ea2053e918837d], RiskWare.Tool.HCK, C:\Users\kefir\Downloads\iZotope_RX_Advanced_2.10.656_x86.x64\Crack_2_keygen\iZotope RX Advanced keygen\Izotope.RX2.v2.10.656-kg.exe, , [fbad3277772281b50e999196976af50b], Trojan.MalPack.Krunchy, C:\Users\kefir\Downloads\AFPM7\CA_AllFusion_Process_Modeller_v7.2_by_EDGE\CA.AllFusion.Process.Modeller.v7.2-EDGE\EDGE\keygen.exe, , [396f2f7a16831125e6d77ef7a95835cb], CrackTool.Agent, C:\Users\kefir\Downloads\LennarDigital.Sylenth1.v2.21.x86.x64\keygen.exe, , [6c3c57522079f244e05d3840b44da060], Цитата Ссылка на сообщение Поделиться на другие сайты
Nikita Zybinov 0 Опубликовано 2 апреля, 2016 Автор Share Опубликовано 2 апреля, 2016 Удалил, 71 из 100 найденных малварей. Проблема осталась. done_Log Malwarebytes.txt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.